Търсене
Close this search box.

Новата задна врата DeliveryCheck на Turla

Секторът на отбраната в Украйна и Източна Европа е станал мишена на нова, базирана на .NET задна врата, наречена DeliveryCheck (известна още като CAPIBAR или GAMEDAY), която може да доставя полезни товари на следващ етап.

Екипът за разузнаване на заплахите на Microsoft, в сътрудничество с Екипа за реагиране при компютърни инциденти в Украйна (CERT-UA), приписа атаките на руски национален държавен извършител, известен като Turla, който се проследява и под имената Iron Hunter, Secret Blizzard (преди Krypton), Uroburos, Venomous Bear и Waterbug. То е свързано с руската Федерална служба за сигурност (ФСБ).

„DeliveryCheck се разпространява по електронна поща като документи със злонамерени макроси“, заяви компанията в серия от туитове. „Той се запазва чрез планирана задача, която го изтегля и стартира в паметта. Той също така се свързва със сървър C2, за да изтегли задачи, които могат да включват стартиране на произволни полезни товари, вградени в XSLT стилове.“

Успешният първоначален достъп в някои случаи е съпроводен и с разпространението на известен имплант на Turla, наречен Kazuar, който е оборудван да краде конфигурационни файлове на приложения, дневници на събитията и широк набор от данни от уеб браузъри.

Крайната цел на атаките е да се ексфилтрират съобщения от приложението за съобщения Signal за Windows, което позволява на противника да получи достъп до чувствителни разговори, документи и изображения в целевите системи.

Забележителен аспект на DeliveryCheck е способността му да пробива сървъри Microsoft Exchange, за да инсталира компонент от страна на сървъра, използвайки PowerShell Desired State Configuration (DSC) – платформа за управление на PowerShell, която помага на администраторите да автоматизират конфигурирането на системите Windows.

„DSC генерира файл във формат на управляваните обекти (MOF), съдържащ скрипт на PowerShell, който зарежда вградения .NET полезен товар в паметта, като на практика превръща легитимния сървър в C2 център за зловреден софтуер“, обясняват от Microsoft.

Разкритието идва в момент, когато киберполицията на Украйна ликвидира огромна бот ферма с над 100 лица, за които се твърди, че разпространяват враждебна пропаганда, оправдаваща руската инвазия, изнасят лична информация, принадлежаща на украински граждани, и участват в различни схеми за измами.

В рамките на операцията бяха извършени претърсвания на 21 места, в резултат на които бяха иззети компютърно оборудване, мобилни телефони, над 250 GSM шлюза и около 150 000 SIM карти, принадлежащи на различни мобилни оператори.

Източник: The Hacker News

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
16 юни 2024

CISA предупреждава за бъг в Windows, използван ...

Американската агенция за киберсигурност и инфраструктурна сигурност...
16 юни 2024

Бивш служител е осъден на 32 месеца затвор за и...

Бивш служител на National Computer Systems (NCS), отговарящ за осиг...
Бъдете социални
Още по темата
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
11/06/2024

ARX подготвя Европа за войн...

Иновационният фонд на НАТО (NIF) направи...
27/05/2024

Войната за чиповете

Производителят на машини за чипове ASML...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!